rpm -V $rpmlist done > /tmp/rpmverify.out
当你运行该scripts时,输出被定向到文件/tmp/rpmverify.out你可以使用less命令查看该文件 。但是
由于文本文件如:/etc/passwd, /etc/inetd.conf等很可能显示为被修改过 。但是你如何知道这些是管理员
自己修改的还是入侵者修改的呢?方法是:
在你确保你的系统是干净的,没有被攻击者入侵时,你为这些系统文件创建指纹信息 。在你怀疑你的系统
被入侵时使用这些这些指纹信息来判定系统是否被入侵 。创建文件的指纹信息是通过命令md5sum 来实现的:
# md5sum /etc/passwd
d8439475fac2ea638cbad4fd6ca4bc22 /etc/passwd
# md5sum /bin/ps
6d16efee5baecce7a6db7d1e1a088813 /bin/ps
# md5sum /bin/netsat
b7dda3abd9a1429b23fd8687ad3dd551 /bin/netstat
这些数据是我的系统上的文件的指纹信息 。不同的系统上的文件的 指纹信息一般是不同的,你应该是使
用md5sum来计算自己系统文件的指纹信息 。下面是一些你应该创建指纹信息的文件;
/usr/bin/passwd /sbin/portmap /bin/login /bin/ls /usr/bin/top /etc/inetd.conf /etc/services
通过指纹信息你可以决定是否有系统文件被篡改 。
四、
上一节中说过,当netstat,ls等命令被修改,从而发现系统已经被入侵,下面该怎么办?根据你系统的重要
性的不同,你有很多种选择 。但是我推荐对用户目录,password及其他关键的系统文件进行备份 。然后重新
安装系统 。但是不要随便就将备份的文件拷贝到新系统,因为攻击者可能在这些文件中隐藏一些非法的东西 。
也可以不重新安装系统,而是通过TCP wrapper来限制对主机的访问,并且关闭非关键的网络服务 。然后更新
被影响的包 。重新"干净"的启动系统是很重要的,但是要实现这点并不容易 。若你发现procps或net-tools包
已经被攻击者修改,第一件事情是重新安装干净的包来替换被攻击者做了手脚留下后门的包 。一般最好从你的
系统发布者处得到最新的包来重新安装 。
一旦攻击者进入到系统其就将在系统上存放一些工具并且将之隐藏起来,使你不容易发现 。下面是一个被攻击
者入侵的系统的实例 。当系统被攻击者入侵,服务器被限制网络访问,并且替代所有的受影响的包 。然后就
需要通过仔细查看log文件来发现重复的企图进入系统 。查看/etc/passwd文件,发现一个不属于合法的用户 。
进入到该用户的目录下:/home/jon,运行 "ls -l"得到如下的内容:
. .. .. .bashrc .bash_history .screenrc emech.tar.gz
除了一个名字为emech.tar.gz的文件以外,看不出什么异常现象 。但是仔细观察,你就会发现系统有两个
".."目录 。(指该子目录的上一级目录)是的确很奇怪,我使用命令"cd .."我就会进入到/home目录 。原来
其中子目录名字是在两个点后面有一个空格 。(".. ")你可以通过如下命令发现:
# cd /home/jon
# echo .* | cat -v
. .. .. .bashrc .bash_history .screenrc emech.tar.gz
仔细观察可以发现每个子目录都是被一个空格隔开,而在第二个“..”和.bashrc之间有两个空格 。这就
意味着第二个".."子目录其实为点-点-空格 。下面进入到该目录:
# cd ".. "
然后列出该目录下的内容:
#ls
randfiles mech.set mech.pid checkmech cpu.memory
mech.help mech.usage mech mech.levels emech.users psdevtab
下一步我们再查看是否其还在其他地方隐藏了文件:
# find / -user jon -print
除了/home/jon目录以外,还发现如下的内容;
/usr/local/bin/.httpd
/tmp/cl
/tmp/.l/bcast
/tmp/.l/.l
/tmp/.l/imapd
/tmp/.l/log
/tmp/.l/pscan
/tmp/.l/pscan.c
/tmp/.l/rpc
推荐阅读
- linux内核的编译
- 三 Linux简明系统维护手册
- 四 Linux简明系统维护手册
- Linux远程启动
- 在Linux中制作VCD
- vivoy9s怎么开启通知亮屏
- 寻找Linux下的网络邻居
- 拾相详细软件功能介绍
- Linux 每次启动时钟日期就多了 8 小时
- 么的偏旁和结构 么的偏旁和结构是什么